openSUSE 安全更新:MozillaFirefox (openSUSE-SU-2012:1345-1)

critical Nessus 插件 ID 74779
全新!插件严重性现在使用 CVSS v3

计算的插件严重性默认已更新为使用 CVSS v3。没有 CVSS v3 分数的插件将回退到 CVSS v2 来计算严重性。可以在设置下拉列表中切换严重性显示首选项。

简介

远程 openSUSE 主机缺少安全更新。

描述

Mozilla 套件接收到以下安全更新 (bnc#783533):

Mozilla Firefox 更新到 16.0.1。Mozilla SeaMonkey 已更新到 2.13.1。Mozilla Thunderbird 已更新到 16.0.1。Mozilla XULRunner 已更新到 16.0.1。

- MFSA 2012-88/CVE-2012-4191 (bmo#798045) 多项内存安全危害

- MFSA 2012-89/CVE-2012-4192/CVE-2012-4193(bmo#799952、bmo#720619)defaultValue 安全检查未应用

- MFSA 2012-74/CVE-2012-3982/CVE-2012-3983 多项内存安全危害

- MFSA 2012-75/CVE-2012-3984 (bmo#575294) select 元素持久性允许进行攻击

- MFSA 2012-76/CVE-2012-3985 (bmo#655649) 设置 document.domain 之后继续访问最初起源

- MFSA 2012-77/CVE-2012-3986 (bmo#775868) 一些 DOMWindowUtils 方法绕过安全检查

- MFSA 2012-79/CVE-2012-3988 (bmo#725770) 全屏和历史记录导航的 DOS 和崩溃

- MFSA 2012-80/CVE-2012-3989 (bmo#783867) 使用 instanceof 运算符时因转换无效而发生的崩溃

- MFSA 2012-81/CVE-2012-3991 (bmo#783260) GetProperty 函数可绕过安全检查

- MFSA 2012-82/CVE-2012-3994 (bmo#765527) 可通过插件访问的顶部对象和位置属性

- MFSA 2012-83/CVE-2012-3993/CVE-2012-4184(bmo#768101、bmo#780370)Chrome 对象封装程序 (COW) 不禁止访问特权函数或属性

- MFSA 2012-84/CVE-2012-3992 (bmo#775009) 通过 location.hash 进行的欺骗和脚本注入

- MFSA 2012-85/CVE-2012-3995/CVE-2012-4179/CVE-2012-4180/ CVE-2012-4181/CVE-2012-4182/CVE-2012-4183 使用地址审查器时发现的释放后使用、缓冲区溢出和越界读取问题

- MFSA 2012-86/CVE-2012-4185/CVE-2012-4186/CVE-2012-4187/ CVE-2012-4188 使用地址审查器时发现的堆内存损坏问题

- MFSA 2012-87/CVE-2012-3990 (bmo#787704)

解决方案

更新受影响的 MozillaFirefox 程序包。

另见

https://bugzilla.novell.com/show_bug.cgi?id=783533

https://lists.opensuse.org/opensuse-updates/2012-10/msg00054.html

插件详情

严重性: Critical

ID: 74779

文件名: openSUSE-2012-709.nasl

版本: 1.10

类型: local

代理: unix

发布时间: 2014/6/13

最近更新时间: 2021/1/19

依存关系: ssh_get_info.nasl

风险信息

VPR

风险因素: High

分数: 8.9

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 8.7

矢量: AV:N/AC:L/Au:N/C:C/I:C/A:C

时间矢量: E:H/RL:OF/RC:C

漏洞信息

CPE: p-cpe:/a:novell:opensuse:MozillaFirefox, p-cpe:/a:novell:opensuse:MozillaFirefox-branding-upstream, p-cpe:/a:novell:opensuse:MozillaFirefox-buildsymbols, p-cpe:/a:novell:opensuse:MozillaFirefox-debuginfo, p-cpe:/a:novell:opensuse:MozillaFirefox-debugsource, p-cpe:/a:novell:opensuse:MozillaFirefox-devel, p-cpe:/a:novell:opensuse:MozillaFirefox-translations-common, p-cpe:/a:novell:opensuse:MozillaFirefox-translations-other, p-cpe:/a:novell:opensuse:MozillaThunderbird, p-cpe:/a:novell:opensuse:MozillaThunderbird-buildsymbols, p-cpe:/a:novell:opensuse:MozillaThunderbird-debuginfo, p-cpe:/a:novell:opensuse:MozillaThunderbird-debugsource, p-cpe:/a:novell:opensuse:MozillaThunderbird-devel, p-cpe:/a:novell:opensuse:MozillaThunderbird-devel-debuginfo, p-cpe:/a:novell:opensuse:MozillaThunderbird-translations-common, p-cpe:/a:novell:opensuse:MozillaThunderbird-translations-other, p-cpe:/a:novell:opensuse:enigmail, p-cpe:/a:novell:opensuse:enigmail-debuginfo, p-cpe:/a:novell:opensuse:mozilla-js, p-cpe:/a:novell:opensuse:mozilla-js-32bit, p-cpe:/a:novell:opensuse:mozilla-js-debuginfo, p-cpe:/a:novell:opensuse:mozilla-js-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-kde4-integration, p-cpe:/a:novell:opensuse:mozilla-kde4-integration-debuginfo, p-cpe:/a:novell:opensuse:mozilla-kde4-integration-debugsource, p-cpe:/a:novell:opensuse:seamonkey, p-cpe:/a:novell:opensuse:seamonkey-debuginfo, p-cpe:/a:novell:opensuse:seamonkey-debugsource, p-cpe:/a:novell:opensuse:seamonkey-dom-inspector, p-cpe:/a:novell:opensuse:seamonkey-irc, p-cpe:/a:novell:opensuse:seamonkey-translations-common, p-cpe:/a:novell:opensuse:seamonkey-translations-other, p-cpe:/a:novell:opensuse:seamonkey-venkman, p-cpe:/a:novell:opensuse:xulrunner, p-cpe:/a:novell:opensuse:xulrunner-32bit, p-cpe:/a:novell:opensuse:xulrunner-buildsymbols, p-cpe:/a:novell:opensuse:xulrunner-debuginfo, p-cpe:/a:novell:opensuse:xulrunner-debuginfo-32bit, p-cpe:/a:novell:opensuse:xulrunner-debugsource, p-cpe:/a:novell:opensuse:xulrunner-devel, p-cpe:/a:novell:opensuse:xulrunner-devel-debuginfo, cpe:/o:novell:opensuse:12.1, cpe:/o:novell:opensuse:12.2

必需的 KB 项: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

可利用: true

易利用性: Exploits are available

补丁发布日期: 2012/10/13

漏洞发布日期: 2012/10/10

可利用的方式

Metasploit (Firefox 5.0 - 15.0.1 __exposedProps__ XCS Code Execution)

参考资料信息

CVE: CVE-2012-3982, CVE-2012-3983, CVE-2012-3984, CVE-2012-3985, CVE-2012-3986, CVE-2012-3988, CVE-2012-3989, CVE-2012-3990, CVE-2012-3991, CVE-2012-3992, CVE-2012-3993, CVE-2012-3994, CVE-2012-3995, CVE-2012-4179, CVE-2012-4180, CVE-2012-4181, CVE-2012-4182, CVE-2012-4183, CVE-2012-4184, CVE-2012-4185, CVE-2012-4186, CVE-2012-4187, CVE-2012-4188, CVE-2012-4191, CVE-2012-4192, CVE-2012-4193